ISO/IEC 27001
ISO/IEC 27001Risiken identifizieren und nachhaltig reduzieren
Die Normkapitel 4 bis 10 und der Maßnahmenkatalog (Anhang A) definieren die Anforderungen für das Managementsystem der Informationssicherheit einer Organisation. Die Umsetzung der Anforderungen kann in Abhängigkeit von der Organisation (Struktur, Größe, Prozesslandschaft, angestrebtes Sicherheitsniveau etc.) mehrere Monate in Anspruch nehmen. Eine Grundvoraussetzung für eine effektive und effiziente Umsetzung der Informationssicherheit gemäß der ISO/IEC 27001 ist die Wahl einer geeigneten Einführungsmethodik und eine sorgfältige Planung. Die Aufgabe der Implementierung eines ISMS gemäß ISO/IEC 27001 sollten speziell hierfür ausgebildete Berater (zertifizierte ISO/IEC 27001 Lead Implementer) übernehmen.
Erfolgreiche EinführungStep-by-Step: Praktische Umsetzung der ISO 27001
Unter Berücksichtigung der Wirtschaftlichkeit führen wir mit Ihnen mittels Best Practice-Verfahren das Managementsystem für Informationssicherheit in Ihrem Unternehmen. Unsere Leistungen:
- Im Rahmen der GAP-Analyse wird der aktuelle Status der Informationssicherheit in Ihrem Unternehmen den ISO/IEC 27001-Anforderungen gegenübergestellt.
- Mit Hilfe eines detaillierten Fragenkatalogs werden mögliche Lücken (Abweichungen) zwischen den Sollvorgaben der Norm und der zurzeit existierenden Sicherheitsmaßnahmen festgestellt.
- Die GAP-Analyse liefert mit den festgestellten Abweichungen einen wichtigen Input für die Projektplanung und Ermittlung der Projektkosten.
- Die gemeinsam erstellte Projektplanung definiert u.a. die Verantwortlichkeiten, notwendigen Ressourcen und Kompetenzen, sowie Zeiträume für die Realisierung der einzelnen Sicherheitsmaßnahmen bis hin zum Zertifizierungsaudit.
- Basierend auf der Projektplanung werden die Kosten der Umsetzung des ISMS bestimmt.
- Gemeinsam analysieren wir den Kontext Ihrer Organisation sowie interne und externe Rahmenbedingungen, die einen direkten Einfluss auf die Bestimmung des Anwendungsbereichs des ISMS und der Anforderungen an das Sicherheitsniveau haben.
- Der Anwendungsbereich des zukünftigen ISMS wird festgelegt.
- Um die Informationen und Assets zu schützen müssen diese zuerst identifiziert und dokumentiert werden. Gemeinsam analysieren wir die bereits vorhandene Dokumentation der Unternehmensstruktur, Prozesslandschaft und IT-Komponenten.
- Als Ergebnis liefern wir eine Dokumentation aller primären und sekundären (supporting) Assets, sog. Asset-Register.
- Gemeinsam führen wir die Risikoanalyse gemäß ISO/IEC 27005 durch.
- Gemeinsam planen wir die Umsetzung der Maßnahmen zur Risikobehandlung aus dem Anhang A der Norm und der weiteren individuellen Maßnahmen unter der Berücksichtigung der Angemessenheit und Wirtschaftlichkeit (Kosten-Nutzen-Analyse).
- Wir unterstützen Sie bei der Durchführung der festgelegten Maßnahmen.
- Gemeinsam definieren wir messbare Sachverhalte (KPIs) aus dem ISMS und legen die Häufigkeit ihrer Messung fest.
- Wir unterstützen Sie bei der Planung und Durchführung von regelmäßigen Security Awareness Schulungen für die Mitarbeiter.
- Wir unterstützen Sie bei der Planung und Durchführung von regelmäßigen internen Audits und der Berichterstattung (Management Reviews) an die Geschäftsführung Ihres Unternehmens.